- Trong khi Mỹ chưa có luật bảo vệ quyền riêng tư liên bang toàn diện, dữ liệu cá nhân thu thập từ các ứng dụng điện thoại đang đi qua ngành quảng cáo nhắm mục tiêu rồi chảy vào các công cụ giám sát của chính phủ
- Chính phủ có thể mua từ data broker để tiếp cận cả dữ liệu người dùng vốn thường cần lệnh tòa hoặc lệnh khám xét, khiến ranh giới giữa giám sát của doanh nghiệp và giám sát của công quyền trở nên mờ nhạt
- Một cuộc điều tra của Wall Street Journal xác nhận Near Intelligence đã mua dữ liệu của hơn 1 tỷ thiết bị từ các data broker phục vụ quảng cáo, và ký hợp đồng để dữ liệu này được chuyển tới các cơ quan quân sự và tình báo liên bang thông qua nhà thầu chính phủ
- Dữ liệu vị trí có thể được dùng để theo dõi người tham gia biểu tình, người ghé thăm một số cơ sở nhất định, cũng như liên hệ giữa nhà báo và người tố giác, làm gia tăng rủi ro không chỉ xâm phạm đời tư mà còn trả đũa và nhận diện nhầm
- Giải pháp là ban hành Fourth Amendment is Not For Sale Act, đạo luật cấm chính phủ mua dữ liệu mà họ không thể có nếu không có lệnh khám xét, cùng một luật bảo vệ quyền riêng tư dữ liệu người tiêu dùng toàn diện
Con đường biến dữ liệu quảng cáo thành giám sát của chính phủ
- Mỹ không có đạo luật bảo vệ quyền riêng tư liên bang toàn diện, và ngành quảng cáo nhắm mục tiêu vận hành dựa trên dữ liệu cá nhân thu thập từ các ứng dụng điện thoại
- Cốt lõi khiến ranh giới giữa giám sát của doanh nghiệp và giám sát của chính phủ suy yếu nằm ở cấu trúc mua bán dữ liệu
- Nếu dữ liệu không được mã hóa hoàn toàn hoặc không được người dùng trực tiếp lưu trữ cục bộ, chính phủ có thể lấy dữ liệu từ các công ty truyền thông và điện toán
- Theo truyền thống, việc này cần lệnh tòa, nhưng nay ngày càng có nhiều trường hợp chính phủ mua trực tiếp dữ liệu từ các broker đã mua dữ liệu trong ngành công nghệ quảng cáo
Trường hợp Near Intelligence
- Cuộc điều tra của Wall Street Journal đã phơi bày cấu trúc giao dịch dữ liệu của một công ty tên Near Intelligence
- Near Intelligence mua dữ liệu cá nhân và thiết bị, loại thường được bán cho nhà quảng cáo, từ các broker
- Công ty cho biết họ đã mua dữ liệu về hơn 1 tỷ thiết bị
- Công ty ký hợp đồng với một nhà thầu chính phủ, và dữ liệu này được chuyển tới các cơ quan quân sự và tình báo liên bang
- Bằng cách này, chính phủ có thể mua quyền tiếp cận cả thông tin vị trí, loại dữ liệu mà thông thường họ phải đưa ra căn cứ hợp lý đáng kể và xin lệnh khám xét
- Nhiều nhà phát triển ứng dụng smartphone muốn bán dữ liệu người dùng cho bên trả giá cao nhất để kiếm tiền, và người mua có thể bao gồm cả chính phủ
Tác hại mà theo dõi vị trí không cần lệnh khám xét có thể gây ra
- Cảnh sát có thể dùng các công cụ giám sát này để xác định thiết bị của những người tham dự biểu tình, rồi lần theo họ về đến nhà nơi họ ngủ, biến họ thành mục tiêu của giám sát bổ sung, quấy rối hoặc trả đũa
- Cũng có thể theo dõi chỉ những thiết bị từng ở trong một địa điểm cụ thể
- Văn phòng luật sư di trú
- Phòng khám sức khỏe sinh sản
- Cơ sở chăm sóc sức khỏe tâm thần
- Các cuộc gặp bí mật giữa nhà báo và nguồn tin là người tố giác cũng có thể bị giám sát bằng những công cụ như vậy
- Đã có những trường hợp người trong cơ quan thực thi pháp luật lạm dụng công nghệ giám sát vì động cơ ác ý cá nhân
Khu vực bị cảnh sát kiểm soát quá mức và rủi ro nhận diện nhầm
- Kiểu giám sát này khiến những người sống và làm việc ở các khu vực có nhiều hoạt động trị an dễ trở thành đối tượng bị cảnh sát nghi ngờ hơn
- Chỉ vì ở cạnh một tiệm pizza vừa xảy ra vụ cướp, hoặc nghỉ uống cà phê gần một hình graffiti, họ cũng có thể bị phân loại là thiết bị ở gần hiện trường tội phạm và trở thành mục tiêu giám sát bổ sung
Fog Data Science và yêu cầu lập pháp
- Trường hợp Near Intelligence xuất hiện một năm sau khi EFF điều tra Fog Data Science
- Fog Data Science là công ty đã cung cấp cho các cơ quan thực thi pháp luật cấp bang và địa phương quyền truy cập thông tin vị trí chính xác và liên tục của hàng trăm triệu người Mỹ
- Dữ liệu này được thu thập từ các ứng dụng smartphone rồi được tổng hợp bởi các data broker thiếu minh bạch
- Việc truy cập rất dễ dàng và thường diễn ra không cần lệnh khám xét
- Điểm cốt lõi mà Quốc hội phải bịt lại là lỗ hổng data broker
- Fourth Amendment is Not For Sale Act là một dự luật lưỡng đảng nhằm ngăn chính phủ Mỹ mua dữ liệu vốn dĩ cần lệnh khám xét
- Foreign Intelligence Surveillance Act Section 702 dự kiến hết hiệu lực vào tháng 12/2023, và dự luật gia hạn là cơ hội để đưa vào các hạn chế đối với data broker
- Quốc hội và chính quyền các bang cũng cần ban hành luật bảo vệ quyền riêng tư dữ liệu người tiêu dùng toàn diện
- Nếu doanh nghiệp thu thập ít dữ liệu người dùng hơn, lượng dữ liệu mà chính phủ có thể mua từ các doanh nghiệp đó cũng sẽ giảm
- Cần có áp lực thể chế để ngăn chính phủ lách qua yêu cầu lệnh khám xét bằng cách mua thông tin vốn dĩ cần lệnh khám xét
1 bình luận
Các ý kiến trên Hacker News
Tôi đồng ý với vấn đề mà bài viết nêu ra, nhưng có lẽ cũng cần có áp lực buộc các nhà mạng di động không được bán dữ liệu vị trí
Việc chỉ ra các nhà phát triển ứng dụng smartphone là có giá trị, nhưng ISP có thể biết vị trí ngay cả khi không có smartphone, và trên thực tế về mặt pháp lý họ cũng phải có khả năng báo cáo việc này (https://en.wikipedia.org/wiki/Communications_Assistance_for_... v.v.)
Tôi tò mò liệu EFF có cho rằng các nỗ lực ngăn chặn trường hợp sau bằng lập pháp đã vô nghĩa hay không
https://www.eff.org/issues/cell-tracking
Cũng cần ngăn việc khóa các thiết bị mà mọi người “sở hữu” để họ không thể dùng biện pháp đối phó
Việc dữ liệu này được khu vực tư nhân sử dụng cũng đáng lo ngại ngang, thậm chí có thể hơn, việc chính phủ sử dụng. Dù sao nhà nước trong nhiều trường hợp vẫn phải chịu trách nhiệm dân chủ
Khi đó công ty của tôi có quan hệ chặt chẽ với các nhà mạng di động Mỹ, và chủ yếu làm các ứng dụng white-label dưới danh nghĩa an toàn gia đình. Tuy nhiên nhiều người dùng lại quan tâm đến vị trí của vợ/chồng hoặc người yêu hơn là của con cái
Cùng khoảng thời gian đó OAuth 1a xuất hiện, và tôi nghĩ sẽ hay nếu tận dụng mối quan hệ này để cung cấp một nền tảng bán vị trí cho các nhà phát triển ứng dụng trên cơ sở có sự đồng ý. Tôi cũng định đưa vào nhiều tính năng bảo vệ quyền riêng tư
Cuối cùng chỉ có một nhà phát triển ứng dụng đạt được chút thành công, còn các công ty tổng hợp ít quan tâm đến quyền riêng tư hơn đã bắt tay với thế hệ nhà phát triển ứng dụng tiếp theo, khiến tương lai của sản phẩm biến mất. Kỷ niệm thì vẫn thú vị
Theo tôi biết, cuộc gọi VoIP thường dùng SIP để gọi phía bên kia (được bảo mật một phần), rồi dùng ICE/STUN/TURN để hai bên tìm đường đi trực tiếp nhất, sau đó trao đổi luồng âm thanh thực tế
Có phải client đơn giản là không mã hóa luồng âm thanh không? Hay nhà mạng chặn mọi thứ sau hop SIP đầu tiên kiểu tấn công trung gian? Điều đó có vẻ không khớp với kiểu giám sát chỉ đọc “chuyển bản sao dữ liệu mạng qua tap phần cứng hoặc cổng mirror của switch/router đến probe IP chuyên dụng”
Điều này có thể nghe như đổ lỗi cho nạn nhân. Dù vậy vẫn có lựa chọn tắt điện thoại
Khái niệm AdInt cũng đáng tham khảo. Nó được nhắc đến trong https://www.theregister.com/2023/09/16/insanet_spyware/, và cách hoạt động được trình bày chi tiết hơn trong cuộc điều tra gốc của báo Israel Haaretz https://archive.ph/7dbaV
Trước đây đã có bài đăng, nhưng chỉ có 2 bình luận: https://news.ycombinator.com/item?id=37542097
Tôi có cảm giác chuyện này sẽ kết thúc tệ hơn nhiều so với mọi người nghĩ
Doanh nghiệp cấu kết với chính phủ chẳng phải là định nghĩa của chủ nghĩa phát xít sao? Nếu vậy, chẳng phải đó chính là điều chúng ta đang thấy hiện nay sao
Sau các tiết lộ của Snowden, chúng ta biết rằng nhiều quốc gia đã tích trữ lỗ hổng và xây dựng khoảng cách quyền lực số có thể áp dụng cả cho những mục đích nhỏ nhặt
NSO Group đã cho thấy gần như có thể âm thầm xâm nhập bất kỳ điện thoại nào mà không cần phần mềm bổ sung, và những việc gần đây như các cuộc điều tra giết người Canada/India cũng gợi ý rằng các kênh từng được xem là an toàn rốt cuộc vẫn có thể bị chặn bắt
Thật khó tưởng tượng ngày nay China hay NSA thực sự có thể làm đến mức nào. Chúng ta vẫn tránh được đại thảm họa, nhưng cảm giác ranh giới cho giám sát và kiểm soát Internet đã được vạch ra ngày càng rõ. Dù vậy, nếu ai có thể bảo vệ mạnh mẽ một cách diễn giải lạc quan hơn thì tôi muốn nghe
Thông thường, chủ nghĩa phát xít được định nghĩa bằng chủ nghĩa dân tộc chuyên chế, một lãnh đạo độc tài tập quyền, chủ nghĩa quân phiệt, đàn áp cưỡng bức phe đối lập, đặt lợi ích cá nhân lệ thuộc vào lợi ích của quốc gia hoặc chủng tộc, và tuyên truyền nhằm duy trì niềm tin rằng tồn tại một thứ bậc xã hội tự nhiên
Tác động chính của các tiết lộ đó là sự trỗi dậy của chủ nghĩa dân túy, nhưng ngoài việc mất Nhà Trắng trong một nhiệm kỳ thì không có ảnh hưởng bền vững nào, và phản ứng dân túy đó trên thực tế cũng đã bị dập tắt
Nếu muốn tạo ra thay đổi, có lẽ phải can thiệp sớm hơn, khi chỉ những nhóm rìa bị coi là điên rồ còn đang nói về nó, chẳng hạn 25 năm trước hoặc khoảng 25 năm sau, để có thể bẻ dòng chảy tiếp theo sang hướng khác
Những thứ như Quest 3 và Apple Vision mới chỉ là khởi đầu, và khi mọi người đều đeo thiết bị AR đi lại, sẽ không còn cách nào thoát khỏi point cloud
Các công ty này sẽ có đồ thị thời gian thực về việc mọi người đang ở đâu và làm gì tại nơi công cộng, bao gồm cả những người chưa từng dùng bất kỳ dịch vụ nào của họ. Thật đáng sợ
Nhưng xu hướng này có vẻ gần với việc các doanh nghiệp gần như kiểm soát và thay thế chính phủ. Nó giống như ý tưởng méo mó về chủ nghĩa tư bản các bên liên quan đi đến kết luận tự nhiên của nó
Phần cốt lõi là: “Nếu dữ liệu không được mã hóa hoàn toàn hoặc không được lưu trực tiếp cục bộ, chính phủ có thể lấy dữ liệu đó từ các công ty viễn thông hoặc điện toán. Theo truyền thống thì cần lệnh tòa, nhưng ngày càng nhiều chính phủ chỉ đơn giản mua từ các nhà môi giới dữ liệu đã mua trong ngành công nghệ quảng cáo”
Tôi cho rằng ngành công nghệ quảng cáo cũng bao gồm Meta và Google. Nhưng một số người nổi giận nói rằng “Meta thực ra không bán dữ liệu của bạn” hoặc “Google thực ra không bán dữ liệu của bạn”
Nếu các công ty này tham gia vào hệ sinh thái này và mua từ các nhà môi giới dữ liệu, thì họ cũng tệ chẳng kém gì các nhà môi giới dữ liệu. Meta và Google không thể vừa kiếm phần lớn tiền từ các mối quan hệ kiểu này, vừa tạo điều kiện cho giám sát, lại vừa giả vờ như những vị thánh không đáng bị chỉ trích
Ví dụ, cả dmv.ca.gov và irs.gov đều dùng Google trên toàn bộ site
Khi chính phủ coi Google là giải pháp mỗi lúc cần những thứ như xác minh danh tính, CAPTCHA, thì cấu trúc sẽ sụp đổ
Tôi từng nghe câu “một nền dân chủ có công nghệ tiên tiến thì kém tự do hơn một chế độ độc tài có công nghệ thô sơ”
Những nơi này lạc hậu hơn về mặt công nghệ so với Switzerland, New Zealand, Denmark, Estonia, Ireland ngày nay, nhưng không tự do hơn [1]
[1] https://worldpopulationreview.com/country-rankings/freedom-i...
Tôi không nghĩ dữ liệu cá nhân của mình là thứ FTC nên “bảo vệ” hay “quản lý”
Đạo luật duy nhất có hiệu quả sẽ là cấm hoàn toàn mọi điểm bán dữ liệu người dùng cá nhân nếu không có sự đồng ý rõ ràng của người dùng (ví dụ: xác nhận cookie), nhưng chuyện đó sẽ không bao giờ xảy ra
Và nếu việc này trắng trợn đến vậy, tôi cũng tự hỏi vì sao vẫn chưa có vụ kiện nào. Chính phủ Mỹ vốn đã bị ràng buộc bởi Hiến pháp và Tu chính án thứ Tư. Tôi không nghĩ chúng ta cần một đạo luật vụng về do những người còn chẳng biết mình đang làm gì tạo ra